第一篇:信息安全考點總結
關于QQ、網銀、大師、360等討論題,你們有誰整理出答案來了 hmac是用hash函數做mac的技術 就是分解n啊,不分解n比分解n更難
大家都知道溢出現象一不小心就會發生,所以微軟和VC做了預先準備,在臨時變量之間設置了緩沖隔離帶,萬一有溢出,盡可能避免影響到別人,也盡早盡量發現,在debug模式下才有此舉,在release模式下隔離帶就沒有餓了。緩沖區: 網銀安全;
1、Ssl加密,https
2、輸入銀行賬號和密碼時的控件:特殊機制
3、對抗口令監聽的軟件(硬件對抗不了)
4、開通網銀時的那句話來鑒別這不是釣魚網
5、手機交易嗎
6、U盾
7、有沒有可能網站不存口令
8若是不可能,存了口令,認證期間不要在網上傳,傳的時候hash一下,傳hash值,用隨機數挑戰,隨機數和口令hash。
9、網銀ssl加密后給服務器
Qq 登陸方面。
重新設你的密保,復雜一點的,QQ密碼 也復雜一點,QQ盜號從單純的“偷窺”、“鍵盤鉤子”木馬、“屏幕快照”木馬,到聊天記錄監視和“網絡釣魚”
輸入賬號密碼的時候可能網吧里面就雙黑色的眼睛正盯著你的鍵盤可能電腦里面還有你看不到的“眼睛”也監控著你的鍵盤,然后把獲取的賬號信息發送出去,而這類木馬占了QQ盜號木馬的99%以上。
將賬號密碼加密,QQ賬號密碼信息本地存放,無須注冊。不用注冊的方式比較安全,不用擔心信息在傳遞過程中出現問題 在加密通道中輸入QQ賬號密碼后自動刪除所有臨時信息 注意電腦系統的清潔 檢測鍵盤鉤子程序和木馬
以及打開的qq是不是按照目錄下的qq.exe 聊天時可以進行身份認證
確定和你聊天的確實是那個人 所以現在比較高級的就是用二維碼登陸⊙.⊙ 手機確認一下
使用qq交換文件的話,服務器會不會有記錄? QQ加密外掛 Pkcs5 密鑰分發: 1,公鑰
CA 2:對稱密鑰
diffie hellman 文件加密的慘劇: 360加密: 無紙化辦公: 單表統計規律: 文件共享
密碼學和網絡信息安全能幫助我們干什么 通信安全 偷聽和保密
分組網絡的存儲-轉發 假冒和抵賴 無紙化支持 辦公和電子商務活動 簽章、支付安全和抵賴問題 數字簽名 系統安全 漏洞、病毒等問題 系統訪問安全體現
惡意代碼
病毒、木馬、攻擊程序 數據驅動 黑客
攻擊破壞(漏洞,引誘)未授權使用 系統和軟件漏洞 NOS 系統軟件
系統安全手段
硬件、NOS、系統軟件 防火墻 軟件、硬件 身份認證 訪問控制和授權 kerberos 審計/入侵檢測 LOG,IDS 網絡管理員 關于簽名 手寫簽名 數字簽名
紙版文件 數字文件 手寫簽名 數字小文件 同一頁紙 如何綁定 必須的特性:
不可偽造 不可重用 不可改變 不可抵賴
四種技術手段 加密
鑒別/數字簽名 身份
消息來源和真實性 防抵賴 簽名和驗證 完整性 校驗 網絡安全模型 系統安全
病毒、木馬、漏洞、黑客、攻擊等 防火墻、信息過濾和入侵監測等 傳輸安全 加密防信息泄密
鑒別和認證:消息來源、身份核認、防抵賴等 完整性 * 密碼學
加密算法、鑒別和簽名算法、安全協議等 * 安全系統
互操作、部署、運行、監控等 密碼分析學
目標:恢復密鑰或明文 唯密文攻擊 只有一些密文 已知明文攻擊
知道一些過去的(明文及其密文)作參考和啟發 選擇密文攻擊
有一臺解密機(能解密選擇的密文)選擇明文攻擊
繳獲有一臺加密機(還能加密選擇的明文)
Feistel參數特性 分組大小 密鑰大小 循環次數
一般僅幾輪是不夠的,得十幾輪才好,如16輪 子鑰產生算法 越復雜越好 輪函數Round 關鍵 其他考慮
速度(尤其是軟件實現的速度)便于分析(使用簡潔的結構)不是Feistel結構的 AES、IDEA
* 絕大數分組密碼屬于或類似Feistel結構 多輪
每輪有XOR(或能恢復的操作)輪函數 DES 參數
Feistel體制分組密碼
分組大小 64bit,密鑰大小 56bit,輪數 16輪 S-Boxes
對DES的爭議集中在 密鑰空間太小
Key space 從Lucifer的2^128降到DES的2^56 DES Challenge III, 22 hours 15 minutes S盒 S-Boxes S盒的設計準則?
陷門? trapdoors by NSA(?)“Form surprise to suspicion”
從驚喜(甚至能夠抵御很后來才發現的各種攻擊)到懷疑(n年前就如此厲害的NSA現在究竟有多厲害)DES總結
DES算法對個人用戶仍值得信賴 DES算法本身沒有大的缺陷 對DES攻擊方法復雜度為2^47 DES使用的2^56密鑰空間不夠大,蠻力攻擊目前已能夠奏效(DES Challenges III),所以關鍵場合不能使用了 DES已經不再是推薦標準
DES還是AES,或者RC4、RC5、IDEA、BF Free/Open DES模塊仍廣泛存在 保護和延續DES投資 對DES的改造
使用現存的軟件硬件在強度上提高
AES(=Rijndael)算法
基本參數
分組大小128bits,被分為4組×4字節處理 密鑰典型128、192、256bits 非Feistel結構 設計出發點
安全,抵抗已知的攻擊方法
代碼緊湊,速度夠快,適合軟硬件實現 結構簡單/簡明/簡 對稱算法的應用: 7.1 密碼功能的設置
7.2 傳輸保密性
7.3 密鑰分配
7.4 隨機數
↓ ↓ ↓
7.a 案例分析
隨機數的用途
用做會話密鑰 [需保密] 用來產生公鑰 [需保密] 如產生RSA密鑰時素數p和q 鑒別方案中用來避免重放攻擊 nonce [不需保密] 每次使用不同的隨機數
很多挑戰-應答協議里的挑戰值 [不需保密] salt in /etc/passwd etc [不需保密] *
非對稱算法
密鑰:K =(Kd,Ke)
加密:E(P,Ke)= C 解密:D(C,Kd)= P 要求:從Ke
Kd 安全不僅依賴于密鑰的保密,也依賴于隨機數的質量
Kd 稱為私鑰,Ke 稱為公鑰
公鑰加密算法: 加密(如果有人要給該用戶A發送消息P)
他先獲得該用戶的公開鑰Ke
加密
傳輸
解密
D(C,Kd)=P
C = E(P,Ke)
除非擁有Kd,象該用戶A,否則不能解開
RSA算法參數建立: 找素數
選取兩個512bit的隨機素數p,q 計算模n 和Euler 函數φ(n)n =pq φ(n)=(p-1)(q-1)找ed≡1 mod φ(n)選取數e,用擴展Euclid 算法求數d 發布
發布(e,n),這是公鑰ke d 保密,(d, n)是私鑰 kd
RSA加解密:
加密
明文分組m 做為整數須小于n
解密
m = cd mod n RSA的正確性 證明
依據Euler 定理,在mod n 的含義下
cd=(me)d=med
c = me mod n
mod n
=mkφ(n)+1
mod n
=(mφ(n))km1
mod n =m
mod n // 據Euler定理
RSA計算實例:
選p=7,q=17 則n=pq=119 且φ(n)=(p-1)(q-1)=6×16=96 取e=5 則d=77(5×77 =385 =4×96 +1≡1 mod 96)公鑰(5,119),私鑰(77,119)
加密m =19 則c =me mod n= 195 mod 119 = 66 mod 119
解密c =66 m =cd mod n = 6677mod 119 =19 mod 119 程序功能:
用p和q為素數,則n=pq且f(n)=(p-1)(q-1)e為加密指數,則求得解密指數d滿足ed=1 mod f(n)加密明文x,則得密文y=x^e mod n 解密密文y,則得解密明文x2=y^d mod n 注意:e必須和fn互素 用法:pqex
e 和(p-1)(q-1)互素
x 小于pq 模冪乘:
97221 % 2003
(都在模2003意義下)
972
21= 97128+64+16+8+4+1
= 97128 9764 9716 978 974 971
依次計算971、972、974、978、一直平方下去即可,并保持模2003 如果某次方在1 式出現,則累乘
累積開始是1 *
乘法次數O(log2Y)攻擊RSA
9716… 97128 枚舉
枚舉所有可能明文m,用e加密和c比較 枚舉所有可能的私鑰d(已知明文)
數學方法
分解n=pq,就可以計算φ(n),就可從e 求得d
不分解n,而直接求φ(n),再求d
不求φ(n),直接求d
對RSA的理解
形式簡單,易于理解,研究深入支持廣泛 既能用來加密,可以用來加密回話密鑰,又可簽名
它的對稱性使它可以可以用來加/解密,同時也可以用來做簽名/驗證。
安全性的模糊(疑為等價于因子分解的難度)隨機素數產生并不容易
運算量大,速度受局限,尤其在嵌入式設備中 對稱短發和公鑰算法的比較 安全性 速度
典型相差1000倍
密鑰管理
對稱算法需要額外安全信道
公鑰:證書中心CA 混合密碼體制
公鑰算法用于簽名和認證
用公鑰算法傳輸會話密鑰
用會話密鑰/ 對稱算法加密批量(bulk)數據
公鑰算法太慢
公鑰的分配方法:
臨時索要公鑰/自由的擴散/PGP的公鑰環 2.公開的目錄服務(在線方式)3.公鑰授權(在線中心方式)4.通過證書中心CA(離線中心方式
公鑰授權:在線中心 有在線中心幫助的公鑰交換
A 以帶時間戳的信息向中心請求B 的當前公鑰
中心用私鑰PRauth簽署的消息回復A,包括:
原始請求和原始時間戳,B 的公鑰PUb,A 用B 的公鑰加密:將自己的身份IDa 和會話標識號N1包含在加密的消息里 B 也如法取得A 的公鑰
B 用A 的公鑰加密:N1 和N2 A 用B 的公鑰加密N2,以最后確認會話
在線中心容易成為單點故障和性能瓶頸
Certificate Authentication
CA是受信任的權威機構,有一對公鑰私鑰。
每個用戶自己產生一對公鑰和私鑰,并把公鑰提交給CA申請證書。CA以某種可靠的方式核對申請人的身份及其公鑰,并用自己的私鑰“簽發”證書。
證書主要內容:用戶公鑰,持有人和簽發人的信息,用途,有效期間,簽名等。
證書在需要通信時臨時交換,并用CA的公鑰驗證。
有了經CA簽名保證的用戶公鑰,則可進行下一步的身份驗證和交換會話密鑰等。
Diffie-Hellman密鑰
目的:使兩用戶能安全的交換密碼,以便在后續的通信中用改密碼對消息加密
算法的有效性是建立在計算離散對數是很困難這件事的基礎上 步驟
隨機 交換y 算k 選取大素數q 和它的一個生成元g,這些參數公開 A選擇隨機數Xa,B選擇隨機數Xb
A 計算Ya =g^Xa mod q,B 計算Yb =g^Xb mod q
交換Ya,Yb
A 計算K =Yb^Xa mod q,B 計算K' =Ya^Xb mod q
事實上,K =K'
舉例 q=97,g=5
A選Xa=36,B選Xb=58,則
Ya=5^36%97=50,Yb=5^58%97=44 交換50,44 A算K=44^36%97=75,B算K’=50^58%97=75 分析(別人怎么計算K?)
別人看到了Ya和Yb,但需要計算Xa或Xb,即要算離散對數 Ya=g^Xa mod q,或Yb=g^Xb mod q.b ElGamal加密 準備
1素數p,Zp*中本原元g,公開參數 2私鑰a,公鑰b=ga mod p 加密
1對明文1<=m<=p-1,選隨機數k 2密文(c1, c2)c1=gk mod p, c2=mbk mod p 解密
1m=c2(c1a)-1=mbk((gk)a)-1
=m(ga)k(g-ka)
=m mod p C2和c1a 先求模再相處 ElGamal加密基于離散對數難題 缺點 需要隨機數
密文長度加倍
背景循環群: 從Zp* 到EC 點加群
認證和加密不同。
消息認證是驗證消息完整性的一種機制,能發現對消息的篡改或假冒。
使用對稱算法可產生消息鑒別碼MAC 使用公鑰算法可對消息進行簽名
身份認證是鑒別通信對方的身份是否屬實。
Hash函數是一個單向的消息摘要函數,在產生MAC、簽名中有重要用途。認證函數: 對稱加密
2.公鑰加密
3.消息認證碼(MAC)
4.散列函數(Hash)
認證需要給密文添加結構特征 公鑰加密認證方法:
A可以先使用自己的私鑰加密消息(這是數字簽名),再用B的公鑰加密,這樣可以提供認證。亦需要給明文消息添加結構特征 消息認證碼mac
利用密鑰來生成一個固定長度的短數據塊,并將該數據附在消息之后(假定雙方共享密鑰)
發送方利用密鑰從明文產生一個固定長度的短數據塊(MAC),和消息一起傳輸。
接收方考察是否一致,以判斷MAC和/或消息是否被改動過。
MAC:CBC模式最后一個分組 MAC函數
計算明文M在密鑰K的作用下的特征碼 M || MAC(M, K)
驗證時,判斷明文M 和MAC 碼是否一致
HMACK:帶key的HASH函數
利用HASH函數從報文和密鑰產生MAC碼
先計算特征,再把特征加密的思想,或 直接把散列函數和Key結合得MAC
HMAC = HashKey(Message)
一種實現,比如
HMAC = Hash(Key || Message)HMACK的含義和用途 HASH函數定義:
對于任意給定的報文,產生固定長度的摘要信息是消息認證的一種變形,輸入是大小可變的消息M,輸出固定大小的散列碼H(M),與MAC不同,HACH并不使用密鑰,它僅是輸入消息的函數,是所有消息位的函數。
Hash函數強調單向性和抗沖突特性
單向性質:給定h,要找x 使H(x)=h 是困難的
弱抗碰撞特性:
對于給定的y,找x,使H(x)=H(y)是困難的
強抗碰撞特性(生日攻擊):
* 如果碰撞則意味著數字簽名容易被偽造/欺騙 Hash函數的用途總結下先
Hash函數的用途總結下先 給明文增加結構特征以保護密文 產生MAC碼(HMAC)找x 和y,使H(x)=H(y)是困難的 數字簽名前HASH代表參與 從口令衍生密鑰 挑戰-應答認證協議中 也用來產生隨機數 PKCS5用口令到K
數字簽名:
是一種認證機制,使得消息的產生者可以添加一個起簽名作用的碼字。通過計算消息的散列值并用產生者的私鑰加密散列值來生成簽名。簽名保證了消息的來源個完整性。
兩種模式: 1私鑰簽名:
輸入
報文明文、私鑰
m^d = s 輸出
報文明文、報文密文(簽名)
(m, s)
驗證
不可偽造 不可改變
2散列簽名 討論
s^e =? M 私鑰(其實是公鑰)的管理: 和身份綁定、更新等 簽名過程太慢: 啟用散列函數
改進
對報文的散列值用私鑰加密得到和n 等寬的簽名值
使用證書的鑒別過程:例如ssl A要和B通信,A要弄清楚B是否是他所期望的真的B
A->B:A向B請求證書 A<-B:B的證書
A
:A檢查B的證書是否是A所信任的中心簽發的 A->B:A給B一個隨機報文,讓B簽個名來看看 B
:B簽名,在簽名之前可施加自己的影響成分 A<-B:B的簽名
A
:檢驗是否通過了B的證書里的公鑰的驗證
第二篇:信息安全考點、內容
一、信息與信息安全(名詞解析)
(1)信息:指事物運動的狀態和方式,是事物的一種屬性,在引入必要約束條件后可以形成特定的概念體系。通常情況下,可理解為消息、信號、數據、情報和知識。
(2)信息安全:保護信息系統的硬件、軟件及相關數據,使之不因為偶然或者惡意侵犯而遭受破壞、更改及泄露,保證信息系統能夠連續、可靠、正常地運行。
二、我國法律制度的構成(憲法、法律、行政法、地方性法規、自治單行條例)(辨別)
立法層次看,全國人大及其常委會制定國家法律(中華人民共和國刑法、中華人民共和國計算機信息系統安全保護條例),國務院及其所屬部門分別制定行政法規和部門規章(計算機信息網絡國際互聯網安全保護管理辦法、計算機病毒防治管理辦法),一般地方的有關國家權力機關和政府制定地方性法規和地方政府規章(廣東省計算機系統安全保護管理規定、武漢市電子政務建設管理暫行辦法)。
三、地方立法權的主體(較大的市,福建有廈門、福州)
一般是省、自治區、直轄市的人大及其常委會和較大市的地方人大及其常委會,另外還有民族自治地方的人大。
四、各種法律責任的構成
(1)不滿14周歲,完全不負刑事責任,滿16周歲完全負刑事責任。(2)民事權利分為財產權(物權、債權、知識權)、人身權(人格權、身份權)
(3)民事責任有10種,可同時使用;刑事責任分主刑(死刑)附加刑(罰金、驅逐);行政責任(罰款、警告)
五、法律事實
指是否與當事人的意志有關,可以把法律事實分為事件包括自然事件(無人參與)、社會事件(有人參與)(與當事人意志無關),行為包括合法、違法(與當事人意志有關)
六、犯罪的基本特征(多選)
社會危害性(本質)、刑事違法性、應受刑罰處罰性
七、犯罪的構成要件(多選)
犯罪客體、犯罪客觀方面、犯罪主體、犯罪主觀方面
八、法律關系及其三要素(選)
法律關系:是法律在調整人們行為的過程中形成的權利義務關系。三要素:主體、客體、內容
九、法律關系主體(選)
公民(自然人)、各種機構和組織、國家
十、法律關系客體(選、判斷)
物、行為、智力成果
十一、法律規范
概念:指通過國家的立法機關制定的或者認可的,用以引導、約束人們行為的行為規范的一種。
授權性(有權。、享有。權利、可以。)義務性(有。義務、要。、必須。)職權性
十二、國家安全的構成要素
國家安全一般法律制度、國防安全法律制度、經濟安全法律制度、網絡信息安全法律制度、生態安全法律制度、社會公共安全法律制度
十三、計算機信息系統安全保護重點
國家事務、經濟建設、國防建設、尖端科學技術等重要領域
十四、信息安全法律規范基本原則
(1)誰主管誰負責原則
(2)突出重點原則
(3)預防為主原則
(4)安全審計原則(5)風險管理原則
十五、風險管理:又名危機管理,指如何在一個肯定有風險的環境里把風險減至最低的管理過程。
十六、互聯網上網服務場所的管理權
(1)縣級以上人民政府文化行政部門負責互聯網上網服務營業場所經營單位的設立審批,并負責對依法設立的互聯網上網服務營業場所經營單位經營活動的監督管理;(2)公安機關負責對互聯網上網服務營業場所經營單位的信息網絡安全、治安及消防安全的監督管理;
(3)工商行政管理部門負責對互聯網上網服務營業場所經營單位登記注冊和營業執照的管理,并依法查處無照經營活動;
(4)電信管理等其他有關部門在各自職責范圍內,依照本條例和有關法律、行政法規的規定,對互聯網上網服務營業場所經營單位分別實施有關監督管理。
十七、國際互聯網及互聯網絡
(1)國際互聯網:指中華人民共和國境內的計算機互聯網絡、專業計算機信息網絡、企業計算機信息網絡,以及其他通過專線進行國際聯網的計算機信息同外國的計算機信息網絡相連接。
(2)已建立中國公用計算機互聯網、中國金橋信息網、中國教育和科研計算機網、中國科學技術網四個互聯網絡
十八、病毒、木馬、流氓軟件
病毒從本質上講,它是一段電腦程序。它具有傳播性、破壞性及自我繁殖能力的特點。其中自我繁殖及傳播性是病毒的最大特征。“木馬”,是黑客常用的攻擊方法。它通過在你的電腦系統隱藏一個會在Windows啟動時悄悄運行的程序,采用服務器/客戶機的運行方式,從而達到在你上網時控制你的電腦的目的。黑客可以利用它竊取你的口令、瀏覽你的驅動器、修改你的文件、登錄注冊表等等。
“流氓軟件”是介于病毒和正規軟件之間的軟件。計算機病毒指的是:自身具有、或使其它程序具有破壞系統功能、危害用戶數據或其它惡意行為的一類程序。這類程序往往影響計算機使用,并能夠自我復制。正規軟件指的是:為方便用戶使用計算機工作、娛樂而開發,面向社會公開發布的軟件。“流氓軟件”介于兩者之間,同時具備正常功能(下載、媒體播放等)和惡意行為(彈廣告、開后門),給用戶帶來實質危害。
十九、知識產權的概念組成及特征
(1)概念:是基于創造性智力成果和工商業標記,依法產生的權利的總稱。(2)組成:工業產權(專利權、商標權)+版權(作者權、鄰接權)(3)特征:客觀無形性、雙重性、專有性、地域性、時間性
二十、著作權的分類及其保護期限
(1)各類作品的作者依法享有的權利,還包括藝術表演者、錄音錄像制作者廣播電視節目制作者依法享有的權利。
(2)分類:著作人身權(一生)(公開發表權(終身和死后50年)、署名權、修改權、完整權(時間不受限))、財產權(5-17年)(重制權、公開口述權、公開播送權、公開上映權、公開演出權、公開傳輸權、公開展示權、改作權、散布權、出租權)
二十一、作品及其特點(如何辨別)
(1)概念:指文學藝術和科學領域內,具有獨創性并能以某種有形形式復制的智力創作結果
(2)特點:具有獨創性
(3)辨別:文字作品、口述作品、音樂作品、戲劇作品、曲藝作品、舞蹈作品、雜技藝術作品、美術作品、建筑作品、攝影作品、電影作品和類似電影制作方法創作的作品、工程設計圖、產品設計圖、地圖、示意圖等圖形類產品、計算機軟件、數據庫或其他材料的集合體、法律、行政法規定的其他作品。
二十二、時事新聞的理解
時事新聞是指通過報紙、期刊、電臺、電視臺等傳播媒介報道的單純事實消息,不受著作權保護。
二十三、專利權客體的類型及保護期限
(1)發明(20年,申請之日起,不可延)(2)實用新型(10年)(3)外觀設計(10年)二
十四、專利的特點
新穎性、創造性、實用性 二
十五、專利的限制(大題)
(二)不視為侵犯專利權的行為
1.專利權人制造、進口或者經專利權人許可而制造、進口的專利產品或者依照專利方法直接獲得的產品售出后,使用、許諾銷售或者銷售該產品的。
2.在專利申請日前已經制造相同產品、使用相同方法或者已經做好制造、使用的必要準備,并且僅在原有范圍內繼續制造、使用的。
3.臨時通過中國領陸、領水、領空的外國運輸工具,依照其所屬國同中國簽訂的協議或者共同參加的國際條約,或者依照互惠原則,為運輸工具自身需要而在其裝置和設備中使用有關專利的。
4.專為科學研究和實驗而使用有關專利的。二
十六、專利侵權行為(大題)
專利侵權行為是指在專利權有效期限內,行為人未經專利權人許可又無法律依據,以營利為目的實施他人專利的行為。它具有以下特征:
1.侵害的對象是有效的專利。專利侵權必須以存在有效的專利為前提,實施專利授權以前的技術、已經被宣告無效、被專利權人放棄的專利或者專利權期限屆滿的技術,不構成侵權行為。專利法規定了臨時保護制度,發明專利申請公布后至專利權授予前,使用該發明的應支付適當的使用費。對于在發明專利申請公布后至專利權授予前使用發明而未支付適當費用的糾紛,專利權人應當在專利權被授予之后,請求管理專利工作的部門調解,或直接向人民法院起訴。
2.必須有侵害行為,即行為人在客觀上實施了侵害他人專利的行為。
3.以生產經營為目的。非生產經營目的的實施,不構成侵權。
4.違反了法律的規定,即行為人實施專利的行為未經專利權人的許可,又無法律依據。
二十七、商標
指商品的生產者或經營者用來標明自己、區別他人同類商品的標志。二
十八、商標強制注冊的商品(人用藥品和煙草制品)二
十九、商標權的保護期限(10年,核準之日算。可延)三
十、商標侵權行為
(1)商標侵權行為是指未經商標注冊人的許可,在同一種商品或者類似商品上使用與其注冊商標相同或者近似的商標
(2)侵權行為:
(一)未經商標注冊人的許可,在相同商品或者類似商品上使用與其注冊商標相同或者近似的商標,可能造成混淆的;
(二)銷售侵犯注冊商標權的商品的;
(三)偽造、擅自制造與他人注冊商標標識相同或者近似的商標標識,或者銷售偽造、擅自制造的與他人注冊商標標識相同或者近似的標識的;
(四)未經商標注冊人同意,更換其注冊商標并將該更換商標的商品又投入市場的;
(五)在相同或者類似商品上,將與他人注冊商標相同或者近似的標志作為商品名稱或者商品裝潢使用,誤導公眾的;
(六)故意為侵犯他人商標權行為提供倉儲、運輸、郵寄、隱匿、加工、生產工具、生產技術或者經營場地等便利條件的;
(七)將與他人注冊商標相同或者相近似的文字作為企業的字號在相同或者類似商品上使用,或者以其他方式作突出其標識作用的使用,容易使相關公眾產生誤認的;
(八)復制、摹仿、翻譯他人注冊的馳名商標或其主要部分在不相同或者不相類似商品上作為商標使用,誤導公眾,致使該馳名商標注冊人的利益可能受到損害的;
(九)將與他人注冊商標相同或者相近似的文字注冊為域名,并且通過該域名進行相關商品宣傳或者商品交易的電子商務,容易使相關公眾產生誤認的。
(十)給他人的注冊商標專用權造成其他損害的。三
十一、不正當競爭行為
(1)概念:指經營者在市場競爭中,采取非法的或者有悖于公認的商業道德的手段和方式,與其他經營者相競爭的行為。
(2)市場混淆、商業賄賂、虛假宣傳、侵犯商業秘密、低價傾銷、不正當有獎銷售、商業詆毀
三
十二、混淆行為
指經營者在市場經營活動中,以種種不實手法對自己的商品或服務作虛假表示、說明或承諾,或不當利用他人的智力勞動成果推銷自己的商品或服務,使用戶或者消費者產生誤解,擾亂市場秩序、損害同業競爭者的利益或者消費者利益的行為。
(1)假冒他人的注冊商標。(2)與知名商品相混淆。(3)擅自使用他人的企業名稱或姓名,引人誤認為是他人的商品。(4)偽造、冒用各種質量標志和產地的行為。三
十三、商業賄賂行為
商業賄賂是指經營者為爭取交易機會,暗中給予交易對方有關人員或者其他能影響交易的相關人員以財物或其他好處的行為。行為要點:
(1)行為的主體是經營者和受經營者指使的人(包括其職工);其他主體可能構成賄賂行為,但不是商業賄賂。
(2)行為的目的是爭取市場交易機會,而非其他目的(如政治目的、提職、獲取職稱等)。
(3)有私下暗中給予他人財物和其他好處的行為,且達到一定數額。如若只是許諾給予財物,不構成該行為;給予的財物或好處數額過小,如為聯絡感情贈送小禮物,亦不構成該行為。
(4)該行為由行賄與受賄兩方面構成。一方行賄,另一方不接受,不構成商業賄賂;一方索賄,另一方不給付,也不構成商業賄賂。三
十四、不正當有獎銷售
(1)謊稱有獎銷售或對所設獎的種類,中獎概率,最高獎金額,總金額,獎品種類、數量、質量、提供方法等作虛假不實的表示;(2)采取不正當手段故意讓內定人員中獎;(3)故意將設有中獎標志的商品、獎券不投放市場或不與商品、獎券同時投放,或者故意將帶有不同獎金金額或獎品標志的商品、獎券按不同時間投放市場;(4)抽獎式的有獎銷售,最高獎的金額超過5000元(以非現金的物品或者其他經濟利益作為獎勵的,按照同期市場同類商品或者服務的正常價格折算其金額);(5)利用有獎銷售手段推銷質次價高的商品;(6)其他欺騙性有獎銷售行為。三
十五、侵犯商業秘密行為
(1)侵犯商業秘密行為是指以不正當手段獲取、披露、使用他人商業秘密的行為。(2)1)以盜竊、利誘、脅迫或者其他不正當手段獲取權利人的商業秘密;(2)披露、使用或者允許他人使用以前項手段獲取的權利人的商業秘密;(3)根據法律和合同,有義務保守商業秘密的人(包括與權利人有業務關系的單位、個人,在權利人單位就職的職工)披露、使用或者允許他人使用其所掌握的商業秘密。第三人明知或應知前款所列違法行為,獲取、使用或者披露他人的商業秘密,視為侵犯商業秘密。在實踐中,第三人的行為可能與侵權人構成共同侵權。
三
十六、國家秘密與商業秘密
(1)國家秘密:指關系國家安全和利益,依照法定程序確定,在某一確定的時間內只限于一定范圍的人員知道;
(2)商業秘密:指不為公眾所知悉,能為權利人帶來經濟利益,具有實用性并經權利人采取保密措施的技術信息和經營信息。
三
十七、詆毀商譽行為
(1)指經營者捏造、散布虛假事實,損害競爭對手的商業信譽、商品聲譽,從而削弱其競爭力的行為。(2)詆毀商譽的行為要點如下:
(1)行為的主體是市場經營活動中的經營者,其他經營者如果受其指使從事詆毀商譽行為的,可構成共同侵權人。新聞單位被利用和被唆使的,僅構成一般的侵害他人名譽權行為,而非不正當競爭行為。
(2)經營者實施了詆毀商譽行為,如通過廣告、新聞發布會等形式捏造、散布虛假事實,使用戶、消費者不明真相產生懷疑心理,不敢或不再與受詆毀的經營者進行交易活動。若發布的消息是真實的,則不構成詆毀行為。
(3)詆毀行為是針對一個或多個特定競爭對手的。如果捏造、散布的虛假事實不能與特定的經營者相聯系,商譽主體的權利便不會受到侵害。應注意的是,對比性廣告通常以同行業所有其他經營者為競爭對手而進行貶低宣傳,此時應認定為商業詆毀行為。
(4)經營者對其他競爭者進行詆毀,其目的是敗壞對方的商譽,其主觀心態出于故意是顯而易見的。
第三篇:信息安全技術基礎--期末考點總結
4.信息安全就是只遭受病毒攻擊,這種說法正確嗎?
不正確,信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境及其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷,最終實現業務連續性。信息安全的實質就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。
信息安全本身包括的范圍很大,病毒攻擊只是威脅信息安全的一部分原因,即使沒有病毒攻擊,信息還存在偶然泄露等潛在威脅,所以上述說法不正確。5.網絡安全問題主要是由黑客攻擊造成的,這種說法正確嗎?
不正確。談到信息安全或者是網絡安全,很多人自然而然地聯想到黑客,實際上,黑客只是實施網絡攻擊或導致信息安全事件的一類主體,很多信息安全事件并非由黑客(包括內部人員或還稱不上黑客的人)所為,同時也包括自然環境等因素帶來的安全事件。補充:信息安全事件分類
有害程序事件、網絡攻擊事件、信息破壞事件、信息內容安全事件 設備設施故障、災害性事件、其它事件
3.信息系統的可靠性和可用性是一個概念嗎?它們有什么區別?
不是。
信息安全的可靠性:保證信息系統為合法用戶提供穩定、正確的信息服務。
信息安全的可用性:保證信息與信息系統可被授權者在需要的時候能夠訪問和使用。區別:可靠性強調提供服務的正確、穩定,可用性強調提供服務訪問權、使用權。5.一個信息系統的可靠性可以從哪些方面度量?
可以從抗毀性、生存性和有效性三個方面度量,提供的服務是否穩定以及穩定的程度,提供的服務是否正確。
7.為什么說信息安全防御應該是動態和可適應的?
信息安全防御包括(1)對系統風險進行人工和自動分析,給出全面細致的風險評估。(2)通過制訂、評估、執行等步驟建立安全策略體系(3)在系統實施保護之后根據安全策略對信息系統實施監控和檢測(4)對已知一個攻擊(入侵)事件發生之后進行響應等操作
保障信息安全必須能夠適應安全需求、安全威脅以及安全環境的變化,沒有一種技術可以完全消除信息系統及網絡的安全隱患,系統的安全實際上是理想中的安全策略和實際執行之間的一個平衡。實現有效的信息安全保障,應該構建動態適應的、合理可行的主動防御,而且投資和技術上是可行的,而不應該是出現了問題再處理的被動應對。4.什么是PKI?“PKI是一個軟件系統”這種說法是否正確?
PKI是指使用公鑰密碼技術實施和提供安全服務的、具有普適性的安全基礎設施,是信息安全領域核心技術之一。PKI通過權威第三方機構——授權中心CA(Certification Authority)以簽發數字證書的形式發布有效實體的公鑰。
正確。PKI是一個系統,包括技術、軟硬件、人、政策法律、服務的邏輯組件,從實現和應用上看,PKI是支持基于數字證書應用的各個子系統的集合。5.為什么PKI可以有效解決公鑰密碼的技術應用?
PKI具有可信任的認證機構(授權中心),在公鑰密碼技術的基礎上實現證書的產生、管理、存檔、發放、撤銷等功能,并包括實現這些功能的硬件、軟件、人力資源、相關政策和操作規范,以及為PKI體系中的各個成員提供全部的安全服務。簡單地說,PKI是通過權威機構簽發數字證書、管理數字證書,通信實體使用數字證書的方法、過程和系統。
實現了PKI基礎服務實現與應用分離,有效解決公鑰使用者獲得所需的有效的、正確的公鑰問題。1.什么是安全協議?安全協議與傳統的網絡協議有何關系與區別?
答:安全協議是為了實現特定的安全目標,以密碼學為基礎的消息交換協議,其目的是在網絡環境中提供各種安全服務。
網絡協議為計算機網絡中進行數據交換而建立的規則、標準或約定的集合,它是面向計算機網絡的,是計算機通信時采用的語言。網絡協議使網絡上各種設備能夠相互交換信息。常見的協議有:TCP/IP協議等。網絡協議是由三個要素組成:語義、語法、時序。人們形象地把這三個要素描述為:語義表示要做什么,語法表示要怎么做,時序表示做的順序。
區別與聯系:兩者都是針對協議實體之間通信問題的協議,網絡協議是使具備通信功能,安全協議旨在通信的同時,強調安全通信。
1.為什么說WLAN比有線網絡更容易遭受網絡攻擊?
(1)有線網絡中存在的網絡安全威脅在WLAN中都存在。(2)WLAN固有的特點----開放的無線通信鏈路,使得網絡安全問題更為突出,從而WLAN面臨更多的安全隱患。例如:在兩個無線設備間傳輸未加密的敏感數據,容易被截獲并導致泄密。惡意實體更容易干擾合法用戶的通信,更容易直接針對無線連接或設備實施拒絕服務攻擊DoS,并坑你跟蹤他們的行為。
11.如果讓你來設計WLAN安全機制,請論述你將考慮的方面以及設計思路。
WLAN需要解決的問題(138):
01.訪問控制。只有合法的實體才能夠訪問WLAN及其相關資源。02.鏈路保密通信。無線鏈路通信應該確保數據的保密性、完整性及數據源的可認證性。
基于上述需求,WLAN安全機制應該包括實體認證、鏈路加密和完整性保護、數據源認證等,此外應該考慮防止或降低無線設備遭受DoS攻擊。
大致設計思路:采用基于密碼技術的安全機制,借鑒全新的WLAN安全基礎架構—健壯安全網絡關聯RSNA設計建立過程:
(1)基于IEEE 802.1X或預共享密鑰PSK實現認證與密鑰管理,建立RSNA。(2)在RSNA建立過程中,使用協議棧中一些相關標準協議,確保協議的安全性。(3)密鑰管理協議部分:采用4次握手密鑰協商協議—用于在STA與AP之間協商產生和更新共享臨時密鑰,以及密鑰使用方法。(4)STA與AP之間相互認證之后,使用數據保密協議保護802.11數據幀。
6.若一個單位部署防火墻時,需要對外提供Web和E-mail服務,如何部署相關服務器? 答:部署過程如下圖:
Web服務器FTP服務器Email服務器Internet屏蔽子網外部防火墻內部防火墻服務器內部網絡
部署:在內部網與Internet之間設置一個獨立的屏蔽子網,在內部網與屏蔽子網和屏蔽子網與Internet之間各設置一個屏蔽路由器(防火墻)。
這種防火墻部署也稱為DMZ部署方式:提供至少3個網絡接口:一個用于連接外部網絡—通常是Internet,一個用于連接內部網絡,一個用于連接提供對外服務的屏蔽子網。DMZ是一個安全系統與非安全系統之間的一個緩沖區,這個緩沖區位于企業內部網絡和外部網絡之間,放置一些必須公開的服務器設施,如企業Web服務器、FTP服務器和論壇等。9.什么是入侵檢測系統?如何分類?
答:入侵檢測系統:通過收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象。分類:主機型IDS、網絡型IDS 主機型IDS:安裝在服務器或PC機上的軟件,監測到達主機的網絡信息流 網絡型IDS:一般配置在網絡入口處或網絡核心交換處,通過旁路技術監測網絡上的信息流。10.網絡入侵檢測系統是如何工作的?
1)截獲本地主機系統的網絡數據,查找出針對本地系統的非法行為。2)掃描、監聽本地磁盤文件操作,檢查文件的操作狀態和內容,對文件進行保護、恢復等。3)通過輪詢等方式監聽系統的進程及其參數,檢查出非法進程。4)查詢系統各種日志文件,報告非法的入侵者。
Internet防火墻Web/E-mail/FTP核心交換機網絡IDS位置主機IDS位置辦公大樓
15.入侵檢測技術和蜜罐技術都是用于檢測網絡入侵行為的,它們有什么不同?
入侵檢測系統是根據人定義的規則、模式阻止非授權訪問或入侵網絡資源的行為。其收集和分析計算機網絡或計算機系統中若干關鍵點的信息,檢查網絡或系統中是否存在違反安全策略的行為和被攻擊的跡象,其前提即已知非法訪問規則和入侵方式,否則容易產生誤判。
蜜罐(Honeypot)技術則是可以在不確定攻擊者手段和方法前提下發現攻擊。發現自身系統已知或未知的漏洞和弱點。它可以看成是一種誘導技術,目的是發現惡意攻擊和入侵。蜜罐技術可以運行任何的操作系統和任意數量的服務,蜜罐上配置的服務決定了攻擊者可用的損害和探測系統的媒介。
16.如果你是一個單位的網絡安全管理員,如何規劃部署網絡安全產品?
答:安裝安全的無線路由器(防火墻)、選擇安全的路由器名字、定制密碼、隱藏路由器名字、限制網絡訪問、選擇一種安全的加密模式、考慮使用入侵檢測系統或蜜罐等高級技術。
2.信息隱藏與傳統數據加密有什么區別?信息隱藏過程中加入加密算法的優點是什么?
信息隱藏就是利用特定載體中具有隨機特性的冗余部分,將有特別意義的或重要的信息嵌入其中掩飾其存在,嵌入的秘密信息稱為隱藏信息,現代信息隱藏通常要把傳輸的秘密信息寫到數字媒介中,如圖像、聲音、視頻信號等,其目的在于將信息隱藏的足夠好,以使非法用戶在截獲到媒介物時不會懷疑媒介中含有隱藏信息。
傳統數據加密指通過加密算法和加密密鑰將明文轉變為密文,其目的是使明文信息不可見,它的核心是密碼學。
優點:由于隱藏算法必須能夠承受一定程度的人為攻擊,保證隱藏信息不會破壞,所以信息隱藏中使用加密算法,增強了隱藏信息的抗攻擊能力,更加有利于對信息的安全性保護,5.什么是數字水印?數字水印技術與信息隱藏技術有什么聯系和區別?
數字水印是指嵌入在數字產品中的、不可見、不易移除的數字信號,可以是圖像、符號、數字等一切可以作為標識和標記的信息,其目的是進行版權保護、所有權證明、指紋(追蹤發布多份拷貝)和完整性保護等。
聯系和區別:
信息隱藏與數字水印都是采用信息嵌入的方法,可以理解為信息隱藏的概念更大,但通常講到的信息隱藏是隱秘和保護一些信息傳遞,而數字水印是提供版權證明和知識保護,二者目的不同。
8.如何對數字水印進行攻擊?
從數字水印的2個主要性質:魯棒性、不可見性入手。
基于攻擊測試評價,分析數字水印的魯棒性,結合使用峰值信噪比PSNR分析數字水印不可見性,使用低通濾波、添加噪聲、去噪處理、量化、幾何變換(縮放、旋轉、平移、錯切等)、一般圖像處理(灰度直方圖調整、對比度調整、平滑處理、銳化處理等)、剪切、JPEG壓縮、小波壓縮等方式綜合完成數字水印進行攻擊。9.RSA及公鑰密碼體制的安全基礎:
RSA密碼系統的安全性依賴兩個數學問題:大數分解問題、RSA問題。由于目前尚無有效的算法解決這兩個問題的假設,已知公鑰解密RSA密文是不容易的。10.保密通信系統模型圖
竊聽者明文m加密(Encrypttion)密 文c=E k1(m)搭線信道公眾信道解密(Decryption)明文m=Dk2(c)發送方加密密鑰k1秘密信道解密密鑰k2接收方
11.簡述公鑰密碼體制在信息安全保護中的意義:
公鑰加密系統中任何主體只擁有一對密鑰—--私鑰和公鑰,公開其公鑰,任何其他人在需要的時候使用接收方的公鑰加密信息,接收方使用只有自己知道的私鑰解密信息。這樣,在N個人通信系統中,只需要N個密鑰對即可,每個人一對。公鑰加密的特點是公鑰是公開的,這很好地解決了對稱密碼中密鑰分發與管理問題。12.AES 由多輪操作組成,輪數由分組和密鑰長度決定。AES在4×n字節的數組上操作,稱為狀態,其中n是密鑰字節數除4。AES的數據結構:以字節為單位的方陣描述:輸入分組in、中間數組State、輸出分組out、密鑰分組K。排列順序:方陣中從上到下,從左到右
AES算法輪操作過程:
輪變換包括以下子步驟:
(1)字節替換:執行一個非線性替換操作,通過查表替換每個字節。(2)行移位:狀態(矩陣)每一行以字節為單位循環移動若干個字節。(3)列混合:基于狀態列的混合操作。
(4)輪密鑰加:狀態的每一個字節混合輪密鑰。輪密鑰也是由蜜月調度算法產生。需要注意的是,最后一輪(第10輪)操作與上述輪操作略有不同,不包括列混合操作,即只包括字節替換、行移位和密鑰疊加操作。加密128比特明文輪密鑰加主密鑰Kw[0,3]密鑰擴展128比特明文輪密鑰加逆字節替換逆行移位逆列混合第9輪第10輪第1輪字節替換行移位列混合輪密鑰加w[4,7]輪密鑰加逆字節替換第9輪字節替換行移位列混合輪密鑰加w[36,39]逆行移位逆列混合輪密鑰加逆字節替換逆行移位w[40,43]輪密鑰加128比特密文第1輪第10輪字節替換行移位輪密鑰加128比特密文解密 13.簡述PKI的功能:
PKI功能包括數字證書管理和基于數字證書的服務。
01.數字證書是PKI應用的核心,它是公鑰載體,是主題身份和公鑰綁定的憑證。因此,證書管理是PKI的核心工作,即CA負責完成證書的產生、發布、撤銷、更新以及密鑰管理工作,包括完成這些任務的策略、方法、手段、技術和過程。
02.PKI服務:PKI的主要任務是確立證書持有者可信賴的數字身份,通過將這些身份與密碼機制相結合,提供認證、授權或數字簽名等服務。當完善實施后,能夠為敏感通信和交易提供一套信息安全保障,包括保密性、完整性、認證性和不可否認性等基本安全服務。
03.交叉認證。為了在PKI間建立信任關系,引入了“交叉認證”的概念,實現一個PKI域內用戶可以驗證另一個PKI域內的用戶證書。
14.信息安全威脅主要來自人為攻擊,其大致可分為主動攻擊和被動攻擊兩大類型。15.現代密碼系統按其原理可分為兩大類: 對稱加密系統和 非對稱加密系統。16.安全的定義 只有相對的安全,沒有絕對的安全。安全的意義在于保護信息安全所需的代價與信息本身價值的對比,因此信息安全保護是一種效能的折衷。可將信息系統的安全性定義為以下三種:
01.理論安全性:即使具有無限計算資源,也無法破譯。
02.可證明安全性:從理論上可以證明破譯一個密碼系統的代價/困難性不低于求解某個已知的數學難題。03.計算安全性:使用已知的最好算法和利用現有的最大的計算資源仍然不可能在合理的時間完成破譯一個密碼系統。
3種又可區分為理論安全性和實際安全性兩個層次,其中實際安全性又包括兩個層次:可證明安全性和 計算安全性。16.1如何攻擊密碼系統?
惟密文攻擊:破譯者已知的東西只有兩樣:加密算法、待破譯的密文。
已知明文攻擊:破譯者已知的東西包括加密算法和經密鑰加密形成的一個或多個明-密文對,即知道一定數量的密文和對應的明文。
選擇明文攻擊:破譯者除了知道加密算法外,他還可以選定明文消息,并可以知道該明文對應的加密密文。
選擇密文攻擊:破譯者除了知道加密算法外,還包括他自己選定的密文和對應的、已解密的明文,即知道選擇的密文和對應的明文。
選擇文本攻擊:是選擇明文攻擊與選擇密文攻擊的結合。破譯者已知的東西包括:加密算法、破譯者選擇的明文消息和它對應的密文,以及破譯者選擇的猜測性密文和它對應的解密明文。
17.消息認證(如何主體的身份或消息的真實性?)
被認證的主體包括兩類:
01.消息的發送實體,人或設備(實現技術,例如:數字簽名)02.對消息自身的認證,順序性、時間性、完整性(時間戳服務、消息標識等方法)由中國制定的無線網絡安全國際標準是GB 15629.11;
公鑰基礎設施PKI通過 控制中心CA以簽發 數字證書 的形式發布有效的實體公鑰。18.網路安全協議:
應用層傳輸層網絡層數據鏈路層物理層HTTPS, SSH, PGP, Kerberos,SETSSL, TLS, SOCK5IPSecPPP-PAP/CHAP,WEP物理層安全
18.1數字簽名工作過程:
簽名者私鑰簽名s摘要h(m)Hash消息m簽名者消息m簽名者公鑰有效驗證摘要h(m)Hash無效簽名簽名驗證者 19.密碼體制分類(根據密鑰情況分類)
對稱密鑰密碼體制:加密與解密使用相同密鑰(單鑰)優點(為什么使用對稱密碼加密消息呢?):加解密速度快、效率高、加密算法簡單、易于實現,計算開銷小。
缺點:密鑰分發困難,即在通信雙方共享的密鑰一般需要帶外傳遞,總之,通信雙方最初的共享密鑰必須通過安全的方式傳遞交換。對稱加密密鑰使用接受者 公鑰,數字簽名使用 發送者 的私鑰。
公鑰密碼體制:加密與解密使用不同密鑰(雙鑰)公、私鑰成對出現,公鑰加密、私鑰解密。
20.對稱密碼體制分類
分組密碼先將明文劃分成若干等長的塊——分組(如64b),然后再分別對每個分組進行加密,得到等長的密文分組;解密過程也類似。有些密碼體制解密算法與加密算法完全一樣,如DES。
序列密碼是把明文以位或字節為單位進行加密,一般是與密鑰進行混合(如異或)獲得密文序列。也稱流密碼。
分組密碼設計的兩個思想 擴散:即將明文及密鑰的影響盡可能迅速地散布到較多的輸出密文中,典型操作就是“置換”。
混淆:目的在于使作用于明文的密鑰和密文之間的關系復雜化,使得明文和密文、密文和密鑰之間的統計相關性極小化,從而使統計分析攻擊不能奏效。混淆通常采用“代換”操作。
公鑰密碼的算法就是一種陷門單向函數f 21.數字簽名與消息加密組合方案
公鑰(接收者)私鑰(接收者)密鑰加密解密密鑰明文明文明文加密密文密文|簽名摘要簽名密文解密Hash摘要有效解密簽名私鑰(發送者)公鑰(發送者)接收者驗證無效Hash簽名發送者 22.DES DES是一種分組密碼算法,加密和解密使用相同的密鑰。DES的分組長度為64比特位。使用64比特密鑰(其中包括8比特奇偶校驗位),密鑰通過擴展后,經過16輪對明文分組的代換和置換。
DES工作過程:(1)初始置換及其逆置換(2)f函數(乘機變換)[擴展、密鑰混合、替換、置換P ] DES的安全性分析:S盒是DES的核心,也是DES算法最敏感的部分,所有替換都是固定的,甚顯神秘。許多密碼學家曾擔心NSA設計S盒時隱藏了某些陷門。DES算法具有很好的雪崩效應。64比特明文初始置換IP56比特密鑰(去除奇偶校驗位)置換PC128bits28bits<<<置換PC248bits32bits左循環移位K132bitsL0第1輪R0 <<
(1)最小化原則:受保護的敏感信息只能在一定范圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要,僅被授予其訪問信息的適當權限。
(2)分權制衡原則:每個授權主體只能擁有其中一部分權限,使它們之間相互制約、相互監督,共同保證信息系統的安全。
(3)安全隔離原則:將信息的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
第四篇:信息政策法規考點完整總結
信息政策法規考點完整總結
第一章 緒論
信息政策是指國家或相關組織為實現信息資源管理的目標而制定的有關調控信息和信息活動的行為規范。信息法是由國家立法機關批準指定,并由國家執法機關的強制力保證實施的,調節信息領域經濟關系和社會關系的法律規范的總稱。
信息政策法類型規按生命周期不同分為長期、中期、短期政策法規。按地位不同分為主體性政策法規、配套性政策法規。
信息政策與信息法的區別與聯系15 區別:信息政策與信息法在手段、內容、穩定性、強制性、調整范圍、可操作性等方面存在著明顯的區別,主要體現在:
1從手段上講,信息政策側重于導向作用,即為了實現信息政策的目標,運用行政手段,鼓勵和支持社會信息活動。而信息法側重于制約作用,即運用法律手段,限制和約束社會信息行為。2從內容上講,信息政策側重于為社會信息活動提供具有導向性和約束力的行動準則,而信息法側重于通過貫徹國家意志,借助于國家強制力,來規范信息行為,保護信息權利,調整信息關系,穩定信息秩序。
3從穩定性上講,信息政策作為社會信息活動的指導準則,往往是宏觀的方針性號召,允許有靈活性和針對性,可以隨社會信息化的發展目標,政治、經濟、文化等社會狀況和條件改變而改變,而信息法一般是在長期的信息政策實踐后總結提煉出來的,內容比較成熟,時效較長,而且它的制定、修改或廢除都需要經過嚴格和復雜的法定程序,具有相當大的穩定性。4從強制性上講,信息法是由國家專門的立法機關依照法律程序而制定或認可的,具有明確性、穩定性、可靠性和執行的強制性,相比之下,信息政策的制定程序相對簡單,甚至缺乏必要的審議表決程序,其內容廣泛,解釋余地廣泛,變異性較大,無法提供像信息法那樣的信任度、可靠性和強制性。5從調整范圍上講,信息法側重于調整那些能夠成為法律事實,能夠引起信息法律關系產生、變更和消滅的信息活動,而靈活性很強的信息政策在某種程度上彌補了這一缺陷,因而具有更寬的調整范圍。6從可操作性上講,信息法比信息政策的可操作性要強的多。
聯系:1信息政策對信息立法有指導作用。2信息法是信息政策的升華。3科學而合理的信息政策應當受到信息法的制約。
我國目前信息領域面臨的主要問題?1)偏重于硬件建設,軟件開發和信息服務明顯滯后;2)核心技術開發能力薄弱關鍵硬件和軟件依賴進口 ;3)信息資源嚴重不足,而網路和數據庫有存在大量低水平的建設,且難以是吸納互聯共享;4)信息安全存在隱患;5)信息人才明顯不足。第二章 信息政策法規體系結構
信息政策法規在國民經濟和社會發展中的地位?1)信息政策法規是國家政策法規體系的有機組成部分2)是國家信息化建設的根本保障3)是現代信息管理的重要構成要素之一
信息政策法規體系的設計原則?1)科學性原則2)系統性原則3)協調性原則4)穩定性和銜接性原則5)導向性原則6)周期性原則
第三章 信息政策法規的制定、實施與評估
信息政策主體分為官方主體和非官方主體。信息政策法規評估可分為正式評估和非正式評估。從評估者的性質來看分為內部評估和外部評估。信息政策法規效應可分為正效應和負效應、短期效應和長期效應、直接效應和間接效應。信息政策與法規整體正效應實現模式
A體系結構因素:各項分支政策法規間的相互配合策略主要包括: 1時差配合策略2松緊配合策略3功能配合策略4主輔配合策略5更新配合策略 B體系環境因素:信息政策法規體系環境是指影響和制約信息政策法規整體正效應實現的外部條件或因素,信息政策法規體系環境有兩種:一是政策法規性環境二是非政策法規性環境 終結方式、障礙、策略68 A常見的信息政策法規終結有四種方式,即替代、合并、分解和縮減。
B在信息政策法規終結過程中往往存在著許多難以逾越的障礙,主要包括: 1信息政策法規的受益者、制定者、實施者等相關人員的抵觸情緒會阻礙信息政策法規的終結,2現存信息政策法規實施機構的慣性,以及尋求生存和自我擴張本性會給信息政策與法規的終結帶來困難,3已經或即將獲得利益的行政機關會結成反對聯盟,共同抵制信息政策法規的終結,4各種利益集團會千方百計的維持現狀,阻礙現行信息政策法規的終結5信息政策與法規的終結需要依據一定的法律程序進行,具有終結程序上的復雜性,6報刊、廣播、電視等新聞媒體的社會輿論可能會形成巨大的壓力,阻止信息政策法規的終結,7信息政策法規終結需要高昂的成本。
C信息政策與法規的終結策略主要有: 1向社會公眾和有關人員公開信息政策法規的評估結果,解釋終結原因,以消除其抵觸情緒,2實行舊的信息政策法規終結與新的信息政策與法規出臺并舉的策略,以緩和因終結而帶來的巨大壓力3在非正式場合有選擇性的散播試探性信息,測定人們所持的態度,以防止突發性社會輿論所產生的負面影響4正確處理信息政策法規終結與穩定、發展的關系。第四章 信息技術政策法規
熊皮特認為穿心就是建立一種新的生產函數也即是建立一從來沒有過的關于生產要素和生產條件的新組合。在新技術的形成和擴散中可分為技術領先者、技術追隨者、技術后來者。
推行信息技術標準的意義? 1)信息技術標準具有基礎性通用性作用,是從事信息生產搜集處理積累儲存檢索傳遞和消費的一種共同遵守的技術依據2)通過技術的統一,可以取得最佳的信息資源開發利用秩序和效益3)是千差萬別的信息系統之間實現互聯互通和共享的技術基礎。
我國標準可分為國家標準、行業標準、地方標準、企業標準四個級別。第五章 信息網絡政策法規
網絡犯罪具有隱蔽性、智能性、無國界性。四大范疇:數據關聯罪、網絡關聯罪、進入犯罪、輔助計算機犯罪。ISP/ICP的責任認定?1)ISP的責任認定:ISP提供入網接入服務2)ICP的責任認定:對于ICP在侵權事件中是否應當承擔責任,必須根據其提供服務的內容與方式進行判定。包括三類:信息服務的提供者、信息服務的傳播者、混合服務提供者
電子公告服務是指在互聯網上以電子公告牌、電子白板、電子論壇、網絡聊天室、留言板等交互形式為上網用戶提供信息發布條件的行為。
越境數據流(TDF)是指在計算機文檔中處理和存儲的數據通過電子手段跨越政治疆界的傳遞。越境數據流的不平衡三角形133 越境數據流的最突出的特點是多國性。這種多國性使其涉及的范圍非常廣泛,它不僅涉及到發達國家,而且涉及到發展中國家。但是由于世界發展的不平衡性,也使TDF帶有明顯的不平衡性特征。這種不平衡性被表述為“全球TDF的不平衡三角形”。這個不平衡三角形的主要思想是,a以美國為首的發達國家在國際信息服務市場上占有絕對優勢。b發達國家與發展中國家之間存在著TDF的不平衡現象,c在發達國家與發達國家(指美國與歐洲和日本)之間也存在著TDF的不平衡現象。之所以說它們之間的TDF存在著不平衡,是因為從本質上說,TDF有兩種形式,一種是信息(商品)形式的TDF,另一種是數據(原料)形式的TDF。如果輸出本國的數據(原料)形式的TDF,由他國加工后再花錢買回來信息(商品)形式的TDF,無疑將蒙受經濟上的損失。這就是不平衡。第六章 知識產權法律制度
知識產權是人們對其科學、技術、文化等的知識領域中的治理活動創造的成果和經營管理活動中的標記、信譽依法幸有的權利。
什么是知識產權法?特征?是國家制定或認可的,調整咋知識產權的取得、使用、轉讓和保護等地過程中所產生的產權關系的法律規范的統稱。專有性、地域性、時間性,還有國家授予性和客體內容的公開性。
著作權是制作者或其他著作權人依法對其文學、藝術和科學作品所享有的人身權利和財產權利的總稱。
原始主體是指在作品創作完成后,直接依據法律規定或合同約定對文學、藝術和科學作品所享有的著作權人。繼受主體是指通過受讓、繼承、受贈或法律的其他方式取得著作權的人。
著作權內容包括著作人身權和著作財產權。著作人身權是指作者對其作品所享有的各種與人身相聯系而無直接財產內容的權利。著作權的取得:自動取得、注冊取得。
職稱發明創造是指發明人或設計人執行本單位的任務或者主要是利用本單位的物質條件所完成的發明創造。專利審查和批準 1)初步審查2)早期公開3)實質審查4)授權登記公告5)復審。
商標是成產經營者在其商品或者服務項目上使用的,由文字、圖形、字母、數字、三維標志和顏色組合,以及上述元素的組合構成,具有顯著特征,便于識別商品或服務來源的專用標記。商標注冊基本條件顯著性、視覺上可感知、使用。
域名是因特網上識別和定位計算機的層次結構的字符標識,代表著企業或其他組織在因特網上的身份。除了“最低原創性”原則外,美國在數據庫版權保護方面還形成了“版權弱保護”原則。著作權的限制150 1合理使用:是指使用者可以不經著作權人許可,而使用他人已發表的作品,不必向著作權人支付報酬的制度。2法定許可:是指使用者可以不經著作權人的同意而使用其版權作品,但應按規定向著作權人支付報酬,并應注明作者姓名、作品名稱的法律制度。3強制許可:當著作權人無正當理由而拒絕使用者使用其作品時,使用者可以經申請由著作權行政管理部門授權,強制性地使用該作品,這便是強制許可。網絡環境下知識產權保護認識與理解190(1)網絡傳輸的普及和應用,為著作權人實現自己的權利帶來了困難。(2)網絡環境下現有著作權作品的擴大。(3)當作品在網絡環境下以數字化形式存儲、傳播時,各類作品之間的界限變得相當模糊,數字化作品的特殊性及相應的著作權保護形式,值得著作權研究者深入探討。(4)網絡環境下作品的復制速度和難易度、作品的修改、復制品的信息含量等問題都發生了本質變化,它對作者的最主要經濟權利即復制權產生根本性的沖擊,因而“復制”的概念,“復制品”的概念,都需要進一步拓寬。(5)數據庫保護問題。目前,國際社會對信息開發者權益保護的手段主要有兩種:一是法律手段;二是技術手段。技術方面的保護是易于理解的,例如我國大都采用的附帶加密狗、加密卡或加密盤、對軟件拷貝或使用進行限制等技術措施,而法律方面大多數國家都是通過版權法來提供知識保護的。采用技術手段雖然可以較為有效地保護開發者的利益,但也給開發工作增加了負擔,同時也給用戶使用帶來不便。第七章 信息保密與公開法律制度
國家機密的泄密途徑:一方面是境外敵對勢力加緊情報活動結果,另一方面是在于國家保密工作的疏忽和麻痹大意,以及國民信息保密意識的淡薄。境外勢力主要采取重金收買我內部人員,以及通過派遣特務、美人計、學術交流、技術交流、技術合作等途徑獲取我國國家機密;而內部人員則主要是因投敵、貪財、炫耀、麻痹大意、新聞報道失誤等原因導致國家機密的泄密。
商業秘密的特征:秘密性、經濟性和實用性、保密性、合法性。
侵犯商業秘密權的行為:第一,企業自身泄露商業秘密。無意:1)商業談判和業務聯系中無意泄露2)公開出版物上的不經意發表3)非公開資料的不小心遺失4)公共場合談話中的不慎泄露5)廣告與宣傳中的泄露6)信息披露中的把度不嚴7)其他 有意:1)企業員工因貪圖錢財而為競爭對手收買2)企業職工因準備另立山頭而積聚力量3)企業職工借人才流動反復跳槽咦收取信息服務費致富4)企業職工本身在入廠前已為競爭對手所雇用。第二外部力量竊取企業商業秘密1)競爭對手直接盜取商業秘密2)競爭對手雇用無用人員到企業內搜集廢棄物3)佳節商貿往來逃去商業秘密。
隱私權是指公民享有的對其個人信息、私人活動和私有領域不為他人知悉、禁止他人干涉的權利,即私生活不被干擾的權利。
政府信息公開制度是一種承認公民對政府擁有的信息有公開請求權,政府對這種信息的共公開的請求有回答義務的制度。
第八章 電子商務法
電子商務法律需求:1)地域和空間場所的確定2)時間的確定3)數據電文的法律適用問題4)電子簽名和電子認證5)電子合同6)電子支付7)知識產權8)電子商務的第三方的法律地位9)網上隱私權的問題10)電子商務行業的 法律法規11)電子商務稅收立法。
電子簽名系指在數據電文中與數據電文相關的簽名人和表明簽名人認可數據電文所含信息。電子簽名的法律效率
認證機構的義務1)信息批露義務2)義務說明義務3)方便用戶查詢證書義務4)保險業務5)保密義務6)擔保義務。電子合同與傳統合同的區別1)合同的要約和承諾均通過因特網進行2)合同的傳遞通過因特網進行3)表示合同成立的傳統簽字方式被電子簽名方式所代替4)合同生效的地點確定5)訂立過程的特殊性6)電子合同的易消失性和易改動性。
電子支付是指電子支付的當事人,包括消費者、廠商和金融機構,使用安全電子支付手段通過因特網進行的貨幣支付或資金流轉。
第五篇:《安全生產管理》考點總結
《安全生產管理》考點總結
1.海因里希法則:傷亡:輕傷:不安全行為=1:29:300;(2012年單選;2015年單選;)2.危險源:第一類危險源(嚴重程度)、第二類危險源(可能性)(2013年多選;)
3.本質安全設計:兩種:失誤——安全功能;故障——安全功能(2012年多選;2013年單選;)
4.安全生產管理原理:系統原理(4項)、人本原理(4項)、預防原理(4項)和強制原理(2項):(2012年單選;2014單選;2015單選)
5.事故致因理論:5個:事故頻發傾向理論、事故因果連鎖理論(海因里希、博德)、能量意外釋放理論(屏蔽措施等)、軌跡交叉理論、系統安全理論。(2012年單選;2015單選)
6.《企業安全生產標準化基本規范》目標、機構和職責、安全生產投入、制度化管理、教育培訓(三級安全培訓等)、現場管理(設備設施管理、作業安全、職業健康、職業病危害檢測與評價等)、安全性評價、隱患排查治理、應急評估與管理、事故查處、持續改進(2012年單選;2013年單選、多選;2015年單選)7.企業安全文化三層次:安全物質文化、安全行為文化、安全制度文化、安全精神文化(2013年單選)
8.企業安全文化的主要功能:導向功能、凝聚功能、激勵功能、輻射和同化功能(2013年單選;2014年單選)9.安全承諾:領導者、各級管理人員、每位員工。(員工2012年單選;員工2015年單選)10.企業安全文化建設評價指標:基礎特征、安全承諾、安全管理、安全環境、安全培訓與學習、安全信息傳播、安全行為激勵、安全事務參與。(2012年單選;2015年單選)11.重大危險源辨識:單元劃分方法、計算方法(2012年單選,多選;2013年單選、多選;2015年單選)
12.重大危險源的監控監管:整改、幫轉停、備案等規定(2012年單選;2013年單選)13.事故嚴重度評價:最大危險原則和概率求和原則。(2013年單選)14.重大危險源重新辨識、評估的情形:6條。(2014年單選)15.安全生產規章制度:綜合安全管理制度(14項)、人員安全管理制度(7項)、設備設施安全管理制度(6項)、環境安全管理制度(3項)。(2011年單選)16.安全生產管理制度管理:起草、會簽或公開征求意見、審核、簽發、發布、培訓、反饋、持續改進。(2013年多選)17.組織保障:金建道危礦設置安全生產管理機構或專職,其余100為基準。(2013年單選、多選;2015年單選)
18.安全生產費用的提取原則、使用和管理(6項)(2012年單選;2013年單選;2015年單選)
19.安全風險抵押金的管理規定(2012年單選,2013年單選)20.安全技術措施:防止事故發生(5種)、減少事故損失(5種)。(2012年單選;2013年單選;2015年單選、多選)
21.編制安全技術措施計劃的基本原則:4條。(2015年單選)22.“三同時”的概念、監管責任。(2014年單選;)23.必須進行安全條件論證的企業類型(5種)、安全條件論證報告的主要內容:4條(2012年多選;)
24.建設項目安全設施定義(2012年單選)25.安全設施設計審查的期限:受理5日,審查20日,可延10日;不予批準的情形:6種;26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.重新批準的情形:3種。(2012年單選)
安全設施施工和竣工驗收:施工單位職責、監理單位職責、試運行(30-180天)。(2013年單選;2015年單選)
特種設備使用管理:持證上崗;30日內登記、一個月內定檢;使用管理(縣級;原登記單位注銷);應急管理(國務院:特重大事故應急預案,縣級事故預案,單位專項預案)。(2015年單選)
主要負責人和安全管理人員的培訓工作組織、培訓時長(2012年單選;2013年單選)三級安全培訓內容和時長。(2012年單選;2013年單選;)特種作業證的管理(2012年單選)
特種作業的范圍(2012年多選;2015年單選)特種作業人員的培訓內容(2012年多選)
安全生產檢查的類型:經常性、季節性及節假日、專項、綜合性、職工代表等;檢查的內容:軟件系統、硬件系統。(2014年多選)
安全生產檢查的方法:常規檢查、安全檢查表、儀器檢查及數據分析法。安全生產檢查的工作程序:準備(7項)、實施(4項)、綜合分析。(2015年單選)事故隱患的分類;每季度、每年。(2015年單選)重大事故隱患報告內容(3項);治理方案(6項);掛牌督辦:10日,縣,人民政府。(2012年單選;2013年單選;2015年單選)勞動防護用品分類、發放原則、“三證一標志”、“三會”、安全標志。(2012年單選;2013年單選;2014年單選;2015年單選)
申請特種勞動用品安全標志的生產條件(8條)。(2014年單選)承包和發包各自職責;安全協議內容;有限空間作業管理(2012年單選;2013年單選;2015年單選)
煤炭安全監察:日常、重點、專項、定期。(2011年單選)安全生產監督管理方式:事前(證件)、事中(工作場所日常監查:行為監察(管理制度等)、技術監察)、事后(應急救援、事故原因等)。(2012年單選;2014年單選;2015年單選)
特種設備安全監察方式:行政許可制度、監督檢查制度、事故應對和調查處理。(2014年單選;2015年單選)
安全預評價、安全驗收評價、安全現狀評價的各項內容和步驟(2012年多選;2015年單選)
危險和有害因素:按導致事故的直接原因分類:人的因素(心理、生理、行為)、物的因素(物理、化學、生物)、環境(室內、室外、地下、其他)、管理(6項)。(2012年多選;2015年單選)《企業職工傷亡事故分類》20種事故的定義、判別(2012年單選,多選;2013年單選;2014年單選)
危害有害因素辨識方法:直觀經驗分析法(對照經驗法、類比方法)、系統安全分析法(事件樹、事故樹)。(2012年單選、多選;2015年單選)
危險有害因素的識別:廠址、總平面布置、建筑物、工藝過程、生產設備裝置、作業環境、安全管理措施。(2011年單選;2014年單選)安全評價方法:定性(7種)、定量(指數蓋飯,3種)。(2012多選;2013單選;2015單選、多選)
安全評價管理;甲級:400萬,25,30%;乙級:200萬,16,30%(2013單選;2014單選)51.生產過程中的有害因素:生產過程(物理、化學、生物)、勞動過程(5項)、生產環境的有害因素(2項);(2012年單選;2013單選;2014單選;2015單選)52.界定法定職業病的4個基本條件(2014年多選)53.職業衛生工作原則:三級預防
54.職業危害評價:經常性職業危害因素測定與評價、建設項目的職業危害評價。每年一次職業危害因素測定,三年一次職業病危害現狀評價。評價方法:檢查表法、類比法、定量法(2011單選、多選;2015單選)
55.職業危害控制:工程控制技術(濕式作業、密閉抽風等)、個體防護措施、組織管理措施。(2014單選、多選;2015單選)56.職業衛生監督項目(2012年單選)
57.職業危害申報的相關內容:5條,30天;15天(2012年多選;2014單選)58.生產單位職業衛生管理:① 材料和設備管理(11條);② 作業場所管理(16條);③ 防護設備設施和個人防護用品(7條);④ 履行告示義務(3條);⑤ 職業健康監護(8條)。(2011單選;2015單選)
59.如何辨識人的不安全行為、物的不安全狀態、管理不善(2012年多選)
60.應急管理四個階段的主要內容:預防、準備、響應、恢復(2011單選;2012年單選;2013單選;2014單選)
61.事故響應機制:一級(所有部門)、二級(兩個或更多部門)、三級(一個部門)。(2014單選)
62.現場指揮系統組織機構:事故指揮官、行動部、策劃部、后勤部、資金/行政部。(2014單選)
63.事故應急預案編制程序:6條;事故應急預案基本結構:1+4;事故應急預案主要內容:5條。(2011單選;2012單選;2013多選;2015單選)64.應急預案演練:類型(2種);內容分類(2種);實施:5步。(2011單選;2012單選;2013單選)
65.安全帶的檢查內容:10條(2012年多選)
66.一般事故、較大事故、重大事故、特大事故調查歸屬,四種事故的鑒定(2012年單選;2013單選;2015單選)
67.生產安全事故上報時限、部門。(2011單選;2013單選;2014單選)68.事故調查的原則以及事故調查組履行的職責(2011單選;2012年單選;2013單選;2014單選)
69.直接原因和間接原因辨識(2012年單選,多選)70.報告事故應包括的內容(2012年單選)
71.事故的預防:管理措施和技術措施(2012年單選)72.計數資料(相對二項X2)、計量資料(tu)、等級資料;系統誤差、隨機誤差;(2012年單選;2014單選)
73.統計指標中絕對指標和相對指標的定義和辨識(2012年單選;2014單選)74.發病率和幾種率的計算(2012年單選;2013單選;2014單選;2015單選)75.事故統計指標計算方法、直接經濟損失統計范圍、間接經濟損失統計范圍。(2013單選;2014單選)
點擊咨詢 